Újra akcióban a Conficker féreg
Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 megoldással
2017. január 26.
Az ESET minden hónapban összeállítja a világszerte terjedő számítógépes vírusok toplistáját, amelyből megtudhatjuk, hogy aktuálisan milyen kártevők veszélyeztetik leginkább a felhasználók számítógépeit.
2016. decemberének egyik érdekessége volt, hogy a Cornficker féreg újra felbukkant a havi toplistában. A vállalat az év utolsó hónapjában a 2017-es évre szóló kiberbiztonsági előrejelzését is megjelentette, azonban nem csak emiatt volt mozgalmas az év vége: az ESET megkapta a 100. Virus Bulletin díját az ESET NOD32-ért, ezzel ez lett az első olyan megoldás, amely száz alkalommal elnyerte a kitüntetést.
2016 decemberében első helyen végzett a Win32/Bundpil féreg, amely külső adathordozókon terjed, és komoly károkozásra is képes, hiszen a meghajtóinkról mind a futtatható, mind pedig a biztonsági mentéseket tartalmazó állományokat törölheti. Ezzel pedig a zsaroló programok kezére játszik, hiszen mentések hiányában egy fertőzés utáni helyreállítás akár lehetetlen feladatnak is bizonyulhat.
Második helyen találjuk a JS/TrojanDownloader.Nemucod trójait, amely HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja. Az eddigi megfigyelések szerint a Locky és a TeslaCrypt titkosító zsaroló kártevők terjesztésében is aktívan részt vett.
Meglepetésre hosszú szünet után ismét felbukkant a Conficker féreg, amelyet pedig már 2014-ben eltemettünk. Ez egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed, és már 2008 óta létezik rá javítás. Sajnos azonban a frissítést valószínűleg sokan nem végezték el azóta sem, így emiatt korábban több, mint nyolc éven át szerepelt a toplistánkon.
Két újoncot is köszönthetünk a toplistán, egyikük az a kilencedik helyen szereplő Win32/HoudRat, amely egy olyan féreg, amely hátsóajtót (backdoor) telepít. A fertőzés után a számítógép távolról vezérelhető. A kártevő kódját az AutoIt szkript nyelv segítségével készítették, amelyet eredetileg a Windows GUI és egyéb általános feladatok automatizálására terveztek.
Másik frissen feltűnt kártevő pedig a 10-ik Win32/CoinMiner. Ez egy olyan trójai, amelynek az a célja, hogy észrevétlenül digitális valuta (Bitcoin, Litecoin, Darkcoin, stb.) bányászatára használja a megfertőzött számítógép erőforrásait. Maga a kártevő valamilyen általános, jól ismert alkalmazás trójaival újracsomagolt változatával kerül fel az áldozatok számítógépére, amelyet lefuttatva a felhasználó tudta és beleegyezése nélkül, titokban települ a kártevő is.
Az ESET Radar Report decemberi havi kiadása ezúttal arról írt, hogy év végén megjelent az éves, "Trends 2017: Security held ransom" című biztonsági előrejelzés a 2017-es esztendőre vonatkozóan. A biztonsági kutatók által összeállított jelentés a legfontosabb, mind a vállalkozásokat, mind az átlagfelhasználókat érintő legújabb kiberbiztonsági trendeket mutatja be. Az ESET Research Laboratories a világ minden tájáról gyűjtött adatokat, amelyek alapján a 2017-es esztendő még hangsúlyosabban a zsarolóvírusok éve lesz. Egy új trend megjelenését látjuk, ez a Ransomware of Things (RoT), ami azt jelenti, hogy a kiberbűnözők feltörik eszközeinket, majd váltságdíjat követelnek az eszközök blokkolásának feloldásáért.
Ez a bűnözés új formáját fogja jelenteni: az IoT (Internet of Things) révén összekapcsolt eszközök bármelyikét blokkolhatják a hackerek. Ez lehet akár egy autó "lezárása" is, ha az össze van kapcsolva a telefonon lévő applikációval, ehhez ugyanis hozzáférhetnek a bűnözők és megakadályozhatják az autó indítását. Majd sms-ben követelik a váltságdíj összegét, aminek kifizetéséhez kötik a telefon és az autó feletti kontroll visszaadását. A jelentés kiemeli a folyamatos tanulás és tájékozódás fontosságát is, amit az online biztonság egyik alapkövének tart, valamint egyszerű lépéseket is kínál az olvasóinak arra, hogy növelni tudják tudatosságukat.
Az év vége egy örömteli eseményt is tartogatott az ESET számára, amely nemrégiben elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100 díjat egyetlen másik termék sem kapott még a minősítő szervezettől. A megoldás rekordernek számít, ugyanis 18 egymást követő évben lett a legjobb biztonsági termék a szervezet tesztjein.
Blogmustra
Az antivírus blog decemberi fontosabb blogposztjai között először arról írtunk, hogy egyre látványosabb problémákat okoz a rengeteg rosszul védett router. Az elmaradt vagy nem is létező hibajavító frissítésektől kezdve a primitív, vagy alaphelyzeten hagyott jelszóval védett admin menü szinte felhívás a támadásra.
Szó volt arról is, hogy az ESET kutatói fertőzött hirdetéseken keresztül terjedő új exploit kitet fedeztek fel. Az érintett oldalak között neves, több millió napi látogatóval bíró weboldalak is megtalálhatók voltak. Az ESET észlelőrendszere szerint az utóbbi két hónap során a kártevő több mint egymillió felhasználót fertőzött meg.
Emellett megírtuk, hogy a Popcorn Time Ransomware nevű újabb kártevő azt a szokatlan ajánlatot tette, hogy ha az áldozat sikeresen megfertőzi a zsaroló vírussal két ismerősét, akkor ő ingyen kaphat helyreállító kulcsot.
Beszámoltunk arról is, hogy az ESET kutatói a legújabb tanulmányukban az orosz pénzügyi intézeteket ért támadásokat vizsgálták, amelyekből csak az elmúlt időszakban több mint 600 darabot regisztráltak. A Virus Bulletin konferencia keretében bemutatott kutatás elemezte a területen működő bűnözői csoportokat, módszereket.
Érdekes hír volt, hogy a Yahoo! tavaly év végén bejelentette, hogy több mint 1 milliárd felhasználójának adatait lopták el még 2013-ban. Az incidens során nevek, e-mail címek, telefonszámok, születési dátumok, jelszavak, valamint a belépőkódokhoz tartozó titkos kérdések és válaszok kerülhettek illetéktelen kezekbe. Az ESET összeállított egy listát arról, hogy mit érdemes tenniük a Yahoo! felhasználóinak az adatszivárgás kapcsán.
Végül pedig arról is szó esett, hogy ma már a közösségi média, az online videók és az azonnali üzenetküldés képezik az internetes felhasználói élmény alapjait. Az ESET szakembereinek segítő összeállításából kiderült, hogyan védhetjük meg hatékonyan személyes adatainkat és profiljainkat a közösségi felületeken.
Vírustoplista
Az ESET több millió felhasználó visszajelzésein alapuló statisztikai rendszere szerint 2016. decemberében a következő 10 károkozó terjedt világszerte a legnagyobb számban, és volt együttesen felelős az összes fertőzés 42.29%-áért. Aki pedig folyamatosan és első kézből szeretne értesülni a legújabb Facebook-os kártevőkről, a közösségi oldalt érintő mindenfajta megtévesztésről, az csatlakozhat hozzánk az ESET Magyarország www.facebook.com/biztonsag, illetve az antivirusblog.hu oldalán.
01. Win32/Bundpil féreg
Elterjedtsége a decemberi i fertőzések között: 13.00%
Működés: A Win32/Bundpil féreg hordozható külső adathordozókon terjed. Futása során különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd egy láthatatlan kártékony munkafolyamatot is elindít. Valódi károkozásra is képes, a meghajtóinkról az *.exe, *.vbs, *.pif, *.cmd kiterjesztésű és a Backup állományokat törölheti. Ezenkívül egy külső URL címről megkísérel további kártékony komponenseket is letölteni a HTTP protokoll segítségével, majd ezeket lefuttatja.
Bővebb információ: http://www.virusradar.com/en/Win32_Bundpil.A/description
02. JS/TrojanDownloader.Nemucod trójai
Elterjedtsége a decemberi fertőzések között: 7.94%
Működés: A JS/TrojanDownloader.Nemucod trójai HTTP kapcsolaton keresztül további kártékony kódokat igyekszik letölteni a megfertőzött számítógépre. A program egy olyan URL listát is tartalmaz, amelynek link-hivatkozásait végiglátogatva különféle kártevőket próbál meg letölteni ezekről a címekről, majd végül a kártékony kódokat a gépen le is futtatja.
Bővebb információ: http://www.virusradar.com/en/JS_TrojanDownloader.Nemucod/detail
03. Win32/TrojanDownloader.Wauchos trójai
Elterjedtsége a decemberi fertőzések között: 6.15%
Működés: A Win32/TrojanDownloader.Wauchos egy olyan trójai, amelynek fő célja további kártékony kódokat letölteni az internetről a fertőzött számítógépre. Különféle registry kulcsok létrehozásával gondoskodik arról, hogy minden rendszerindításkor lefusson a kódja. Hátsó ajtót nyit a megtámadott rendszeren, és ezen keresztül próbál meg adatokat továbbítani a gép operációs rendszeréről, beállításairól, IP címéről, illetve ezen keresztül parancsokat fogad, így a támadóknak távolról tetszőleges kód futtatására nyílik lehetőség.
Bővebb információ: http://www.virusradar.com/Win32_TrojanDownloader.Wauchos.A/description
04. Win32/Ramnit vírus
Elterjedtsége a decemberi fertőzések között: 5.00%
Működés: A Win32/Ramnit egy fájlfertőző vírus, amelynek kódja minden rendszerindításkor lefut. DLL és EXE formátumú állományokat képes megfertőzni, ám ezen kívül a HTM, illetve HTML fájlokba is illeszt kártékony utasításokat. Végrehajtásakor sebezhetőséget keres a rendszerben (CVE-2010-2568), és ha még nincs befoltozva a biztonsági rés, úgy távolról tetszőleges kód futtatására nyílik lehetőség. A támadók a távoli irányítási lehetőséggel képernyőképek készítését, jelszavak és egyéb bizalmas adatok kifürkészését, továbbítását is el tudják végezni.
Bővebb információ: http://www.virusradar.com/Win32_Ramnit.A/description?lng=en
05. Win32/Conficker féreg
Elterjedtsége a decemberi fertőzések között: 3.92%
Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows MS08-067 biztonsági bulletinben tárgyalt hibát kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call), vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a hosts fájlt, ezáltal számos antivírus cég honlapja elérhetetlenné válik a megfertőzött számítógépen. Változattól függően a felhasználó maga telepíti, vagy egy biztonsági résen keresztül felhasználói beavatkozás nélkül magától települ fel, illetve automatikusan is elindulhat egy külső meghajtó fertőzött Autorun állománya miatt.
Bővebb információ: http://www.eset.hu/tamogatas/viruslabor/virusleirasok/%21conficker
06. JS/ProxyChanger trójai
Elterjedtsége a decemberi fertőzések között: 1.84%
Működés: A JS/Proxy Changer egy olyan trójai kártevő, amely megakadályozza a hozzáférést egyes weboldalakhoz, és eközben titokban átirányítja a forgalmat bizonyos IP-címekre.
Bővebb információ: http://www.virusradar.com/en/JS_ProxyChanger.BV/description
07. Win32/Dorkbot féreg
Elterjedtsége a decemberi fertőzések között: 1.35%
Működés: A Win32/Dorkbot féreg cserélhető adathordozók segítségével terjed. A féreg tartalmaz egy hátsóajtó komponenst is, melynek segítségével távolról átvehető az irányítás a fertőzött számítógép felett. Maga a futtatható állomány UPX segítségével tömörített EXE, futtatása során pedig összegyűjti az adott gépről a weboldalakhoz tartozó felhasználói neveket és jelszavakat, majd ezeket megkísérli egy távoli gépre elküldeni.
Bővebb információ: http://www.virusradar.com/en/Win32_Dorkbot.B/description
08. Win32/Bayrob trójai
Elterjedtsége a decemberi fertőzések között: 1.17%
Működés: A Win32/Bayrob egy backdoor, azaz hátsóajtót telepítő kártékony alkalmazás, amelyet hasznosnak látszó alkalmazások kódjába rejtenek. Futása során különböző mappákban különféle átmeneti állományokat hoz létre a megfertőzött számítógépen, majd registry bejegyzéseket készít, illetve egy láthatatlan kártékony munkafolyamatot is elindít, hogy ezzel gondoskodjon arról, hogy minden rendszerindítás alkalmával elinduljon. Fő célja, hogy hátsó ajtót nyisson a megtámadott rendszeren, amin keresztül a háttérben a támadók teljes mértékben átvehetik a számítógép felügyeletét: alkalmazásokat futtathatnak, állíthatnak le, állományokat tölthetnek le/fel, jelszavakat, hozzáférési kódokat tulajdoníthatnak el.
Bővebb információ: http://www.eset.hu/virus/bayrob
09. Win32/HoudRat féreg
Elterjedtsége a decemberi fertőzések között: 1.13%
Működés: A Win32/HoudRat egy olyan féreg, amely hátsóajtót (backdoor) telepít. A fertőzés után a számítógép távolról vezérelhető. A kártevő kódját az AutoIt szkript nyelv segítségével készítették, amelyet eredetileg a Windows GUI és egyéb általános feladatok automatizálására terveztek.
Bővebb információ: http://www.virusradar.com/en/Win32_HoudRat.A/description
10. Win64/CoinMiner trójai
Elterjedtsége a decemberi fertőzések között: 0.79%
Működés: A Win32/CoinMiner egy olyan trójai, amelynek az a célja, hogy észrevétlenül digitális valuta (Bitcoin, Litecoin, Darkcoin, stb.) bányászatra használja a megfertőzött számítógép erőforrásait. Maga a kártevő valamilyen általános, jól ismert alkalmazás trójaival újracsomagolt változatával kerül fel az áldozatok számítógépére, amelyet lefuttatva a felhasználó tudta és beleegyezése nélkül, titokban települ a kártevő is.
Bővebb információ: http://www.virusradar.com/en/Win64_CoinMiner.BB/description
Kapcsolódó cikkek
- A Trend Micro tanulmánya a zsaroló programok hatásáról
- Minden második szervezet áldozatul esett valamilyen zsaroló vírusnak 2016-ban
- A „Kaspersky Total Security" hatékony pénzügyi biztonsági szolgáltatás
- Minden évben milliárdos veszteséget okoz az átlag felhasználókat érintő kiberbűnözés
- A Fujitsu biztonsági megoldásait alkalmazza a világ egyik legnagyobb alumíniumgyártója
- A vállalati támadások feltárási idejét csökkenti a "Kaspersky Threat Lookup” program
- Előrejelzés 2017-re a zsarolóprogramok általi fenyegetettségről
- A Kaspersky „Threat Lookup” programja drasztikusan csökkenti a vállalati támadások feltárási idejét
- Zsarolóprogramok: trend előrejelzés 2017-re az Acronistól
- Megfelelő IT védelem nélkül sokkal kiszolgáltatottabbá válhat az összekapcsolt világ